[IOSRouter做CA服务器]IOSCA服务器和客户端的配置.docVIP

[IOS Router CA] SCEP方式，实验分为两步：一、配置IOS的CA：九个步骤1、产生和导出RSA密钥信息（可选的）用途：CA需要RSA密钥对来产生一个根证书上的签名和验证。可以在CA配置过程中自动产生，但是有两个局限：第一是不可以导出密钥，除非在IOS 12.3（11）T的版本。第二是固定的1024位密钥长度。为导出密钥到安全位置，常使用手动产生密钥对，并标记为可以导出。手动产生密钥命令语法：conf tcry key generate rsa general-keys label CA-name exportable(产生密钥，标记名，定义为可导出) [exportable可导出] cry key export rsa CA-name pem url t9/CA-name des cisco123(导出到TFTP服务器，使用DES加密该密钥，设置密码为cisco123,在导入的时候要使用该密码，否则密钥失效) [export导出] cry key import rsa CA-name2 pem url t9/CA-name des [exportable] cisco123 [import导入] 这个语法不是错误的，这里有个小方法，用来保护密钥对：将CA-name的密钥对导入到路由器上，并且重新指定为CA-name2，这里有个可选项[exportable] ，如果不选择，则CA-name2将不可导出，即使你拥有路由器15级的权限。接着要做的是这样：cry key zeroize rsa CA-name(删除原来的，可导出的密钥对)如果保存在NVRAM中，则拷贝到安全的带外区域，并删除NVRAM中的密钥对（见TFTP语法），现在，即使CA路由器受到灾难，天下是太平的，你可以随时恢复你的CA架构。2、启动CA（必需的）简单的配置只需要三个命令conf tip http servercry pki server CA-name(此时进入子模式)no shut（如果没有手动产生的密钥可以匹配，将自动产生密钥对,在自动产生密钥方式中，可以通过database archive 指定PKCS12或PEM的文件格式，默认为PKCS12 ）CA发起后，默认在NVRAM中产生三个文件， .ser,申请数据库，含有被路由器CA颁发的身份证书； .p12或PEM,含有加密的公钥和私钥； .crl?? 含有CRL。3、定义额外的CA参数（可选的）conf tcrypto pki server R2(进入子模式)这里有很多重要的参数建议配置，否则管理是困难的database level[minimal/names/complete]:默认为minimal，只存储最小的信息来保证证书是唯一的；如：db_version = 1last_serial = 0x2names,证书的序列号和名字存储在.SER中，使得证书的发现和吊销特别容易complete:保存了完整内容在数据库中，真正的仿真了真实的CA产品要做的事情。database username deng pass deng(此命令允许对数据库文件.ser的访问权限)lifetime enrollment-request 以小时计，一个请求允许保留在数据库中的时间，默认为一个星期，可扩展到1000小时grant [none/auto/ra-auto]当用SCEP发起一个证书请求，则以初始状态添加到申请数据库中，被分配给一个唯一的请求ID号。 如配置为NONE，客户端收到一个挂起的回应，CA管理员需要登陆到CA，批准或者拒绝这个请求；如配置为AUTO，给用户提供一个正确的口令，请求被允许，否则拒绝。如未批准，则在lifetime enrollment-request期满后从申请数据库中清除。 lifetime certificate颁发给客户的证书有效时间，默认为一年，范围是1-1825天4、处理申请请求（必需的）注意这里的命令都在特权模式下完成cryp pki server R2 info request查看请求信息cry pki server R2 remove{all/reqid}这个命令和拒绝是不同的，用来清除相同的请求信息的老的请求信息，因为CA是不检查老的请求信息的，相反，它只接受新的请求信息cry pki server R2 grant{all/reqid}允许一个请求ID或是允许ALL，执行此命令会建立两个文件 (.crt 、.cnm）在datebase url指定的位置，.crt 包含实际的客户身份证书，.cnm包含证书的描述。一旦证书被